О проекте

Что это за проект

gdpr-audit.eu — это независимый технический аудит обработки персональных данных в Интернете. Проект публикует воспроизводимые измерения сайтов на соответствие GDPR.

Как появился этот сайт

17 апреля 2026 года я подал две жалобы в Andmekaitse Inspektsioon (AKI) — эстонский регулятор GDPR. Первую — против The Trade Desk, Inc., вторую — против LiveRamp Holdings, Inc. Обе компании — крупные рекламные брокеры, обрабатывающие персональные данные миллионов граждан ЕС. Обе жалобы содержали детальный технический разбор и ссылки на конкретные статьи GDPR.

15 мая 2026 года AKI закрыл оба дела. В один день, с практически идентичной формулировкой: «Жалоба содержит обширную техническую аргументацию, но в центре — индивидуальный запрос одного субъекта данных». Из этого регулятор сделал вывод, что отсутствует «публичный интерес», достаточный для вмешательства.

Эта позиция технически противоречит и тексту GDPR, и практике Суда ЕС (CJEU). В решениях C-26/22 и C-64/22 (SCHUFA, декабрь 2023) и C-768/21 (Land Hessen, сентябрь 2024) Суд прямо установил, что у регулятора нет широкой дискреции отказывать в расследовании — жалоба должна быть рассмотрена с должной тщательностью, а ссылка на «ограниченную эффективность» или «ресурсы» не является правовым основанием для бездействия.

Но позиция AKI имеет и более глубокое последствие. Если один человек — это «не публичный интерес», то для возникновения «публичного интереса» нужно, чтобы много людей одновременно подали жалобы. Но эти люди не подают жалоб, потому что не знают о нарушениях. Они не знают о нарушениях, потому что регулятор не информирует. Логика замыкается на саму себя — и именно так удобно рекламной индустрии. Систему, в которой нарушения невидимы, никто не нарушает.

Этот сайт — практический выход из замкнутого круга. Если регулятор не информирует общественность — информирую сам. Если «один человек» недостаточно — пусть будет публикация, на которую могут опереться следующие. Каждый аудит, опубликованный здесь, превращает «индивидуальную жалобу» в общедоступное доказательство, доступное любому: журналисту, юристу, NGO, другому субъекту данных, который захочет подать собственную жалобу.

История с AKI документирована в разделе Дела — там опубликованы оба решения, моё возражение по делу LiveRamp и связанная переписка.

Цели

1. Сделать видимым то, что обычно невидимо. Передача данных в третьи страны происходит за миллисекунды и без уведомления пользователя. Аудит делает её фиксируемой и обсуждаемой.
2. Создать общедоступный корпус доказательств. Не “жалоба одного человека”, а датасет, на который могут опираться журналисты, исследователи, юристы, регуляторы и сами субъекты данных.
3. Показать, что чистая архитектура достижима. Эталонные сайты (eesti.ee, edpb.europa.eu) демонстрируют, что соблюдение GDPR не требует особых затрат — это вопрос приоритета.

Авторство и ответственность

Проект ведёт один человек. Все аудиты и публикации делаются под личную ответственность автора.

Это намеренный выбор. Один человек с воспроизводимой методологией способен зафиксировать факты. Дальнейшая работа — юридическая, политическая, журналистская — это работа других людей и организаций с другими навыками. Проект не претендует на замену регулятора, NGO или академического исследования. Он предоставляет первичный материал.

Что проект НЕ делает

• Не подаёт жалобы за вас. Если вы хотите подать жалобу — обратитесь к надзорному органу своей страны или к специализированной организации (например, noyb.eu).
• Не даёт юридических консультаций. Правовая квалификация в аудитах — это обоснованное мнение, основанное на тексте GDPR и публичной практике, а не судебное решение.
• Не принимает заказов на коммерческий аудит. Все публикации делаются по собственной инициативе.

Лицензия

Все материалы публикуются под лицензией Creative Commons Attribution 4.0 International (CC BY 4.0). Вы можете цитировать, копировать, распространять и использовать материалы в любых целях, включая коммерческие, при условии указания авторства и ссылки на источник.

HAR-файлы — это технические данные о публичном поведении сайтов, не содержащие персональных данных третьих лиц.

Контакт

contact@gdpr-audit.eu

Для журналистов, исследователей, юристов, представителей надзорных органов: ответы на запросы — в разумный срок, обычно в течение недели.

О самом этом сайте

Этот сайт построен на тех же принципах, которые применяются к аудируемым:

• Ноль внешних трекеров. Никаких Google Analytics, Cloudflare Insights, Google Fonts, reCAPTCHA.
• Ноль cookies.
• Строгая Content-Security-Policy запрещает любые внешние ресурсы.
• Все ресурсы — с собственного домена в ЕС.
• Шрифты — self-hosted, не из CDN.
• Хостинг — EU-инфраструктура.
• Открытый исходный код — доступен для проверки.

Если найдёте на сайте нарушение этих принципов — напишите, и оно будет немедленно исправлено.

«Не в доспехах дело, а в крепости духа»
— Igor Kuzmin